Ново изследване показва как легитимни разширения могат да бъдат превърнати в инструмент за атаки

Разширенията за браузъра Google Chrome често започват като малки проекти на независими разработчици. След като натрупат популярност и потребители, някои от тях биват продадени на други разработчици или компании. Но когато новият собственик се окаже злонамерен, това може да се превърне в сериозен риск за сигурността, тъй като той получава възможност да публикува обновления, които автоматично достигат до хиляди браузъри.

Две отделни изследвания разкриват как киберпрестъпници придобиват легитимни и дори препоръчвани разширения, след което ги модифицират, за да разпространяват зловреден код.

Как легитимно разширение се превръща в зловредно

Един от анализираните случаи засяга разширението ShotBird, първоначално създадено като инструмент за продуктивност, който позволява на потребителите да създават стилизирани екранни снимки. В определен момент то дори получава статус „Featured“ в Chrome Web Store – промоция, която значително увеличава броя на изтеглянията.

Според анализ на изследователи по сигурността между декември и март разширението е било прехвърлено на нов разработчик. След това е публикувана актуализация, която започва да получава инструкции от сървъри, контролирани от атакуващите.

Новата версия показва фалшиви съобщения за обновление на Google Chrome, които убеждават потребителите, че браузърът им трябва да бъде актуализиран ръчно. На практика това е техника тип ClixFix, при която потребителят е подканен да изпълни команда, която изтегля зловредна програма, маскирана като обновление на браузъра.

След инсталиране малуерът излиза извън рамките на браузъра и започва да наблюдава въведените в уеб форми данни, включително:

• пароли

• номера на кредитни карти

• кодове за двуфакторна автентикация

Освен това зловредният код може да извлича съхранени идентификационни данни от браузъра.

Втори случай: компрометирано разширение за уеб дизайн

Отделно разследване разглежда разширението QuickLens, представяно като инструмент „Pixel Perfect“ за дизайнери, който помага при анализ на оформлението на уеб страници.

Според изследователи от компанията Annex собствеността върху разширението също е била променена. След това е публикувана актуализация, която позволява на разширението да заобикаля защитните механизми на браузъра и да инжектира зловредни скриптове в посещаваните сайтове.

Техниката е особено трудна за откриване, защото:

• злонамереният код не се намира директно в самото разширение

• той се зарежда динамично чрез външни ресурси

• използва се малък „tracking pixel“, който активира скрит JavaScript

Така атакуващите могат да изпълняват команди директно в браузъра на жертвата, което позволява:

• кражба на сесийни токени

• извличане на данни от уеб страници

• внедряване на допълнителен зловреден код

Изследователите определят този подход като двуетапна атака, при която първо се осигурява контрол върху браузъра, а след това се преминава към компрометиране на самата система.

Проблемът с веригата за доставки на браузърни разширения

Според експерти това е класически пример за supply chain риск в екосистемата на браузърните разширения.

Процесът обикновено изглежда така:

1. разработчик създава полезно разширение

2. то получава много потребители и положителна репутация

3. проектът се продава на нов собственик

4. новият собственик публикува злонамерена актуализация

Проблемът се задълбочава от факта, че разширенията в Google Chrome се актуализират автоматично. Това означава, че една единствена злонамерена актуализация може незабавно да достигне до хиляди или дори милиони потребители.

Огромна „сляпа зона“ в сигурността

Изследователи демонстрират колко сериозен е този риск чрез експериментално разширение, наречено Totally Innocent Extension, създадено само за демонстрация.

В тестовия сценарий разширението просто стартира приложението Calculator като безобиден индикатор. В реална атака обаче подобен механизъм може да позволи:

• устойчив достъп до системата

• странично придвижване в мрежата

• ексфилтрация на данни

• пълен дистанционен контрол върху устройството

Как организациите могат да намалят риска

За да ограничат подобни заплахи, организациите трябва да приложат по-строг контрол върху използването на браузърни разширения, включително:

• централизирано управление на разрешените разширения

• периодични одити на инсталираните добавки

• ограничаване на автоматичните инсталации

• наблюдение на мрежовия трафик от браузърни разширения

В корпоративна среда все по-често се използват политики за allow-list, които позволяват инсталиране само на предварително одобрени разширения.